Segurança & Auditoria
de Sistemas
AULA 07
• Eduardo Silvestri
• www.eduardosilvestri.com.br
Política de Segurança
O que é Política de Segurança
Política de Segurança é um conjunto de
normas que visa estabelecer
procedimentos formais para a utilização
da informação e dos recursos
computacionais da empresa,
determinando os meios e as ferramentas
que devem ser utilizados.
Características Fundamentais
• Deve possuir envolvimento e o aval da alta
administração da empresa;
• Deve ser flexível, de fácil implantação e
facilmente adaptável a novas situações;
• Deve definir claramente as
responsabilidades;
• Deve indicar os métodos e ferramentas que
devem ser utilizadas para se alcançar o
objetivo.
Principais etapas de elaboração
•
•
•
•
•
•
•
•
•
•
•
•
Definir da equipe responsável pela implantação e manutenção da
segurança;
Analisar as necessidades e procedimentos utilizados pela empresa;
Identificar os processos críticos;
Classificar a Informação;
Elaborar Normas para técnicos e usuários;
Definir um plano de recuperação a desastres ou plano de contingência
Elaborar um Termo de Compromisso;
Definir sanções ou penalidades pelo não cumprimento da política;
Comunicado da diretoria / presidência aos funcionários;
Divulgação da Política;
Implantação;
Revisão da Política.
Principais etapas de elaboração, cont.
• Classificação da Informação
Classificar a informação dentro de um processo de
segurança, auxilia no controle de divulgação e
destruição das informações.
Funciona como uma espécie de etiqueta que é
definida pelo proprietário da informação, levando
em consideração o seu valor e o risco que
representa para a organização.
Principais etapas de elaboração, cont.
Principais tipos de classificação da informação:
• Uso Confidencial – aplicada às informações de grande
valor a organização, se divulgadas indevidamente podem
causar danos e prejuízos a organização ou a seus
parceiros. Seu uso e disseminação devem ser restritos e
controlados.
•
Uso Interno – aplicada às informações restritas aos
funcionários e a terceiros.
•
Uso Público – Informações que podem ser divulgadas
para o público em geral, incluindo clientes, fornecedores,
imprensa, etc.
Principais etapas de elaboração, cont.
• Elaboração de Normas
Nesta talvez serão definidas, de acordo com
as informações levantadas nas fases
anteriores, as normas e procedimentos
que devem ser seguidos pelos
funcionários, técnicos e colaboradores da
organização.
Principais etapas de elaboração, cont.
Principais tópicos das normas e procedimentos:
• acessos externos;
• acessos internos;
• uso da Intranet;
• uso da Internet;
• uso de correio eletrônico;
• política de uso e instalação de softwares;
• política de senhas
• política de backup;
• uso e atualização de anti-vírus;
• acesso físico;
• acesso lógico;
• trilhas de auditoria
• padrões de configuração de rede (nome de máquinas, etc.)
Principais etapas de elaboração, cont.
• Termo de Compromisso
O termo de compromisso é utilizado para que os
funcionários,estagiários e colaboradores se
comprometam formalmente em seguir a política
de segurança e também para reforçar os
principais pontos da política.
Deve ser assinado por todos os funcionários e
renovado anualmente. Deve ser um aditivo ao
contrato de trabalho.
Principais etapas de elaboração, cont.
• Divulgação da Política
Um dos maiores desafios de uma Política de
Segurança é conseguir grande aderência dos
funcionários, isso acontece muitas vezes devido a
cultura da organização e a falta de envolvimento
da alta administração.
Para resolver esse problema utilizamos a
divulgação como instrumento de conscientização
dos funcionários e colabores, da importância da
segurança das informações e da adoção de uma
política.
Principais etapas de elaboração, cont.
A Política de Segurança deve ser de conhecimento de todos
os funcionários, estagiários e colaboradores da
organização, portanto deve ser amplamente divulgada,
inclusive para novos funcionários.
Principais métodos de Divulgação:
• Promover campanhas internas de conscientização;
• Palestras de conscientização para os funcionários e
colaboradores;
• Destaque em Jornal e folhetos internos;
• Destaque na Intranet da organização;
• Criação de manual em formato compacto e com
linguagem acessível aos usuários;
• Disponibilizar na Intranet ou na rede, em local comum a
todos, a política na íntegra para consultas.
Plano de Contingência
Definição
Plano de contingência ou plano de
recuperação, é um plano que contém as
diretrizes que a empresa deve seguir em
caso de parada no processamento das
informações, decorrente de desastre.
Objetivo
O plano de contingência tem como objetivo
auxiliar no restabelecimento do
processamento dos sistemas críticos da
organização, levando em consideração a
criticidade de cada sistema e o prazo previsto
para o seu restabelecimento, de modo que
minimize eventuais perdas à organização,
podendo estas serem financeiras, jurídicas
ou de imagem.
Principais pontos para a
definição de um Plano
• definição das equipes de contingência, suas tarefas e
responsabilidades;
• identificação dos sistemas críticos;
• identificação dos recursos de que os sistemas críticos
dependem;
• levantamento da documentação dos sistemas críticos;
• definição da metodologia de backup;
• definição do backup site;
• definição da metodologia de treinamento e simulação do
plano de contingência;
• definição de regras para a atualização do plano;
• definição de responsabilidade pela ativação e desativação do
plano
• definição das diretrizes de elaboração do plano de retorno;
Principais pontos para a
definição de um Plano
• Definição das equipes de contingência, suas tarefas e
responsabilidades
Nesta etapa devem ser definidas as equipes que estarão
envolvidas no plano de contingência, desde a sua
elaboração, até a ativação e desativação do plano. Abaixo
listamos alguns exemplos de equipes que podem ser
formadas:
•
•
•
•
•
•
•
equipe executiva;
equipe de coordenação;
equipe de revisão e atualização do plano;
equipe de testes e simulações;
equipe de software e hardware;
equipe de operação dos sistemas;
equipe de logística.
Principais pontos para a
definição de um Plano
• Identificação dos sistemas críticos
Sistemas críticos são os sistemas vitais para o
desenvolvimento do negócio da empresa. Se o
funcionamento desses sistemas for interrompido a
organização pode sofrer algum tipo de prejuízo ou
dano.
Nesta fase é necessária as seguintes análises:
•
•
•
•
Identificação dos sistemas críticos;
Análise de impacto nos negócios;
Análise de risco;
Homologação dos sistemas críticos pelos executivos.
Principais pontos para a
definição de um Plano
• Identificação dos recursos de que os
sistemas críticos dependem
A identificação dos recursos pelos quais os sistemas
críticos dependem, dará as informações necessárias
para a definição da estrutura mínima que deverá ser
utilizada durante a ativação do plano de contingência.
Os recursos analisados devem ser:
• recursos de software;
• recursos de hardware;
• recursos de infraestrutura;
• recursos humanos.
Principais pontos para a
definição de um Plano
• Levantamento da documentação dos sistemas
críticos
Para facilitar o entendimento dos sistemas e facilitar a
adaptação a situações, é importante fazer o levantamento
da documentação dos sistemas, apontando os seguintes
ítens:
•
•
•
•
•
•
•
•
objetivos do sistema;
fases e descrição do sistema ;
analistas responsáveis;
relação de programas utilizados;
interfaces;
usuários gestores;
módulos e componentes críticos dos sistemas;
serviços essenciais para a recuperação dos sistemas não
críticos.
Principais pontos para a
definição de um Plano
• Definição da metodologia de backup
Os backups dos sistemas críticos são peças
fundamentais na ativação do plano, portanto devem
obter atenção especial.
Devem ser seguidos os mesmos cuidados utilizados na
política de backup, sendo observados os seguintes
ítens:
•
•
•
•
•
local onde serão armazenadas as fitas de backup;
uso de cofres;
controle da ordem cronológica de baixa dos backups;
controle da vida útil das fitas de backup;
simulações períódicos da restauração dos backups.
Principais pontos para a
definição de um Plano
• Definição do backup site
Backup site é o local onde será montada a estrutura
necessária para a ativação do plano de contingência,
esse local deverá estar localizado fora das instalações
da organização, e deverá conter todos os recursos
identificados como necessários para a ativação do
plano.
Nesta etapa deve ser definido o local de implantação do
backup site, a estrutura de comunicação necessária.
Algumas empresas optam por usar backup sites de
outras empresas.
Principais pontos para a
definição de um Plano
• Definição da metodologia de treinamento e simulação
do plano de contingência
Para o sucesso do plano de contingência, é necessário que as
pessoas que estejam envolvidas no processo de
contingência sejam treinadas, e orientadas nas ações que
devem realizar após a ativação do plano. Devem ser
definidas as formas e datas de treinamento.
Outro fator importante para o sucesso do plano é fazer a sua
simulação, somente assim pode-se ter a certeza de que
todos os procedimentos descritos no plano serão
executados com êxito. O plano deve ser testado
periodicamente, o período indicado é de 1 ano.
Todos os testes e simulações devem ser documentados.
Principais pontos para a
definição de um Plano
• Definição de regras para a atualização do
plano
O plano de contingência deve ser atualizado toda vez
que houver alguma alteração ou inclusão de
procedimentos ou sistemas, que sejam considerados
critícos para a organização. Se não houver, o plano
deverá ser revisado em um prazo máximo de 1 ano,
podendor ser realizado em conjunto com os testes
anuais.
Principais pontos para a
definição de um Plano
• Definição de responsabilidade pela ativação e
desativação do plano
As decisões de ativação e desativação do plano devem
ser tomadas pelas pessoas certas na hora certa.
Essas decisões devem ser tomadas por executivos da
organização, e devem ser baseadas em relatórios e
informações obtidas pela a equipe que coordena o
plano de contingência.
Principais pontos para a
definição de um Plano
• Definição das diretrizes de elaboração do plano de
retorno
O plano de retorno deve ser elaborado após a ativação do
plano de contingência, e deve conter as definições e
especificações necessárias para orientar o retorno as
aividades normais.
O plano de retorno deve conter os seguintes ítens:
• descrição dos procedimentos para o retorno das
atividades normais;
• definição da estrutura de apoio;
• definição das datas para o retorno das atividade;
• criação de relatórios com o histórico dos procedimentos
e atividades.